• Français
    • Espagnol
    • Anglais
Contact : +33(0)4.13.41.50.70
  • Français
    • Espagnol
    • Anglais

Vous avez passé par tout le processus d’identification de votre public cible, de collecte de ses numéros de téléphone, de rédaction de la copie pour vos campagnes et de définition de toutes vos préférences.

Mais avant d’envoyer votre SMS, prenez un moment pour vérifier votre campagne et répondre à une question très importante : êtes-vous conforme à 100% au GDPR ?

Nous avons réuni nos avocats, Sophie Soubelet-Caroit et Perrine Salagnac de SSC Avocats, pour comprendre les implications de la GDPR et de la protection des données.

Pour être concis, dans cette section, nous nous concentrerons uniquement sur les fondements de la GDPR, la collecte de données et le consentement pour les campagnes de marketing par SMS. Cependant, nous vous encourageons à lire également notre guide Cybersécurité et SMS Marketing : protégez vos données, dans lequel nous explorons en profondeur comment assurer la sécurité de nos données, prévenir les attaques et les violations, et ce qu’il faut faire au cas où nous en aurions une.

 

Qu’est-ce que le RGPD ?

Le règlement général sur la protection des données (RPDP) est une « loi sur la vie privée et la sécurité qui impose des obligations à tout type d’institution collectant des données auprès d’utilisateurs qui appartiennent à l’Union européenne », même lorsque l’institution elle-même n’appartient pas à l’UE. Par exemple, si vous êtes basé au Brésil mais que vous traitez des données provenant de clients ou de visiteurs européens, vous devez être en conformité avec le GDPR.

Ce règlement a été institué en 2016 et appliquée en 2018 pour mettre un terme aux conditions générales de vente à la noix que ni les utilisateurs ne pouvaient comprendre, ni les entreprises ne voulaient expliquer.

L’objectif est ici de faire en sorte que les entreprises informent correctement et de manière compréhensible pour que les gens puissent décider librement s’ils veulent ou non s’engager avec elles. Cela implique également de prendre la protection des données comme un élément central de tous les processus de l’entreprise.

  • Quel est l’objectif du RGPD ? Que les utilisateurs puissent comprendre ce qu’on leur propose pour choisir librement quand ils veulent s’engager ou se désengager à volonté en ayant pleine autorité sur les données et leur utilisation par des tiers.
  • Qui doit obéir à la RGPD ? Toutes les institutions qui traitent les données des citoyens de l’UE, même si l’institution elle-même n’appartient pas à l’UE.
  • Peut-on se voir infliger une amende pour avoir enfreint la RGPD ? Oui, vous pouvez vous voir infliger une amende et les amendes sont très élevées. Elles peuvent aller jusqu’à 20 millions d’euros ou 4 % des recettes mondiales (le montant le plus élevé étant retenu), plus une indemnisation pour les dommages subis par les personnes concernées.

S’agit-il uniquement de consentement ?

« Lorsque vous lisez sur Internet dans les sites de marketing, ils ne s’intéressent qu’au consentement. Est-ce que tout est question de consentement ? La réponse est NON », explique Perrine.

« Le consentement n’est pas toujours nécessaire quand on traite de la RGPD. C’est une idée fausse très répandue. En fait, dans l’article 6 de la GDPR, vous verrez qu’il existe d’autres bases juridiques. Le consentement n’est que l’une d’entre elles », dit-elle. Chaque responsable de traitement doit choisir les bases qui lui conviennent et qui sont réalisables.

« Mais si vous tenez compte des autres réglementations, par exemple le « Code des postes et des communications électroniques » et son application réglementée par l’entité appelée ARCEP, dans certains cas mais pas dans tous, vous devez demander le consentement. Mais ce n’est pas le même consentement : l’un concerne la collecte de données, l’autre l’envoi de SMS. Ce sont deux choses différentes », indique Sophie.

Alors que pouvons-nous faire pour être sûrs à 100% de respecter la réglementation ? « Il est dangereux d’avoir une approche unilatérale, car vous avez besoin d’une analyse au cas par cas des exigences légales », indique Sophie. Chaque cas est différent et la réponse à cette question dépendra des lois locales qui s’appliquent à vos clients et à votre entreprise.

 

Comment demander le consentement ?

 

Le RGPD stipule que le consentement doit être :

  • Donné librement : il doit être volontaire
  • Informée : dites à la personne quelles informations vous allez conserver et comment vous comptez les utiliser
  • Sans ambiguïté : énoncé dans un langage clair et simple
  • Spécifique : se distingue clairement des autres matières
  • Exprimé : vous ne pouvez pas le sous-entendre, les individus doivent donner un consentement exprimé de manière affirmative, comme « Je comprends et j’accepte… ».

 

Faire et ne pas faire RGPD conformite

Exemples de formulaires conformes à la GDPR

GDPR compliant form Hubspot

GDPR compliant form Adidas

blank

 

 

Réglementation en France

Chez Octopush, 70 % de notre clientèle est française, il était donc logique d’inclure ici une analyse spécifique sur les différents types de consentement. Voici un bref résumé de ce dont nous avons discuté avec Sophie et Perrine qui peut servir de guide.

 

blank

Exigences pour l’envoi de SMS commerciaux

Selon la CNIL, tout message texte doit comporter :

  • L’identité de l’expéditeur : indiquer clairement aux destinataires qui envoie le SMS
  • Offrir une option de retrait facile et claire : comme STOP au XXXX, ou noPUB=STOP

 

Horaires d’expédition

La plupart des fournisseurs de SMS et MMS citent les mêmes informations provenant de l’ARCEP :

Afin d’éviter tout abus et toute nuisance, les délais d’expédition sont limités. Pour la majorité des opérateurs, les sms mobiles sont interdits entre 20h et 8h du matin en semaine. Les envois sont également interdits le dimanche et les jours fériés toute la journée. Toute infraction à la règle est punie d’une amende de 1 000 € HT par infraction.

Toutefois, et après consultation de nos avocats, ces informations doivent être tempérées. Il n’existe pas de loi en France qui précise les heures et les jours où vous pouvez ou non envoyer des SMS. Par conséquent, vous ne pouvez pas être condamné à une amende sur cette base.

Néanmoins, l’interdiction d’envoyer un SMS/MMS entre 20 heures et 8 heures du matin ou les dimanches et jours fériés est une bonne pratique observée par les entreprises concernées en France. Ainsi, ces règles sont souvent stipulées dans les conditions générales des fournisseurs de SMS et MMS et doivent être respectées par Octopush et, par conséquent, par ses clients.

 

Liens utiles

Prospection commerciale par SMS-MMS (CNIL)

Messages publicitaires par SMS ou MMS : est-ce légal ? (CNIL)

Art. 8 (GDPR)